计算机安全技术网络安全

上传人:理****3 文档编号:253058189 上传时间:2024-11-28 格式:PPTX 页数:27 大小:170.70KB
返回 下载 相关 举报
计算机安全技术网络安全_第1页
第1页 / 共27页
计算机安全技术网络安全_第2页
第2页 / 共27页
计算机安全技术网络安全_第3页
第3页 / 共27页
点击查看更多>>
资源描述
计算机安全技术,单击此处编辑母版标题样式,单击此处编辑母版文本样式,网络安全,9.1网络安全概述,9.1.1网络安全简介,网络是一条数据高速公路,它专门用来增加对计算机系统的访问,而安全性却专门用来控制访问。提供网络安全性是在公开访问与控制访问之间的一种权衡举措。在家里,通过锁门为财产提高安全性,而不是封锁街道。同样,网络安全性一般是指对单台主机提高合适的安全性,而不是直接在网络上提高安全性。,计算机安全包括物理安全和逻辑安全。对于前者要加强计算机机房的管理;而对于后者则需要用口令字、文件许可或查帐等方法来实现。,计算机安全的目标是:在安全和通信方便之间建立平衡。,9.1网络安全概述,9.1.2网络安全的重要性,计算机系统经常遭到进攻。更令人不安的是大多数进攻未被察觉。这些进攻给国家安全带来的影响程度还未确定,但已发现的进攻多数是针对计算机系统所存放的敏感信息,其中三分之二的进攻是成功的,入侵者(黑客)盗窃、修改或破坏了系统上的数据。,被推荐的安全措施有:,对非法访问的登录进行横幅警告。键盘级监控。,捕捉。呼叫者ID。,电话截取。数据加密。,防火墙。,防火墙是防止Intranet被入侵的最好方法。,9.1网络安全概述,9.1.3信息系统安全的脆弱性,信息系统在安全方面存在的问题。,1操作系统安全的脆弱性,2计算机网络安全的脆弱性,3数据库管理系统安全的脆弱性,4缺少安全管理,9.1网络安全概述,9.1.4安全控制的种类,可用于保护一个计算机网络的安全控制有两种,即内部和外部控制。,1内部控制,简单的说内部控制是对计算机系统本身的控制。密码、防火墙和数据加密都属于内部控制。内部控制只有与某一级的外部控制相结合时才生效。,2外部控制,外部控制指系统本身无法控制的部分。外部控制总体上有三类:物理控制 人事控制 程序控制,9.1网络安全概述,9.1.5网络安全的方法,基本上说,处理网络的安全问题有两种方法。用户或允许某人访问某些资源,或者拒绝某人访问这些资源。对于某种装置来说,访问或者拒绝访问的标准是唯一的。,1允许访问,指定的用户具有特权才能够进行访问。这些标准在某种程度上应该与资源共有的性质相匹配。,2拒绝访问,拒绝访问是对某一网络资源访问的一个拒绝。,3异常处理,网络安全中经常同时使用上述两种方法。,9.2 网络安全策略,9.2.1 最小特权,或许最根本的安全原则就是最小特权原则。最小特权原则意味着任何对象仅应具有该对象需要完成指定任务的特权,它能尽量避免你遭受侵袭,并减少侵袭造成的损失。,9.2.2 纵深防御,不要只依靠单一安全机制,尽量建立多层机制。避免某个单一安全机制失败后你的网络会彻底地垮掉。,9.2.3 阻塞点,阻塞点强迫侵袭者通过一个你可以监控的窄小通道在因特网安全系统中,位于你的局域网和因特网之间的防火墙(假设它是你的主机和因特网之间的唯一连接)就是这样一个阻塞点。,9.2 网络安全策略,9.2.4 最薄弱环节,安全保护的基本原则是链的强度取决于它的最薄弱环节,就像墙的坚固程度取决于它的最弱点。聪明的侵袭者总要找出那个弱点并集中精力对其进行攻击。你应意识到防御措施中的弱点,以便采取行动消除它们,同时你也可以仔细监测那些无法消除的缺陷。平等对待安全系统的所有情况,以使得此处与彼处的危险性不会有太大的差异。,9.2.5 失效保护状态,安全保护的另一个基本原则就是在某种程度上做到失效保护,即如果系统运行错误,那么它们会停止服务,拒绝用户访问,这可能会导致合法用户无法访问该系统,但这是可接受的折衷方法。,9.2 网络安全策略,9.2.6 普遍参与,为了使安全机制更有效,绝大部分安全保护系统要求网络用户的普遍参与。如果某个用户可以轻易地从你的安全保护机制中退出,那么侵袭者很有可能会先侵袭内部人员系统,然后再从内部侵袭你的网络。,9.2.7防御多样化,正如你可以通过使用大量的系统提供纵深防御一样,你也可以通过使用大量不同类型的系统得到额外的安全保护。如果你的系统都相同,那么只要知道怎样侵入一个系统就会知道怎样侵入所有系统。,9.2 网络安全策略,9.2.8简单化,简单化也是一个安全保护战略,这有两个原因:第一,简单的事情易于理解,如果你不了解某事,你就不能真正了解它是否安全;第二,复杂化会提供隐藏的角落和缝隙,一间工作室比一拣大厦更容易保证其安全性。,复杂程序有更多的小毛病,任何小毛病都可能引发安全问题。,9.3防火墙的作用与设计,9.3.1 防火墙的作用,Internet的迅速发展为人们发布和检索信息提供了方便,但它也使污染和破坏信息变得更容易。人们为了保护数据和资源的安全,创建了防火墙。,防火墙从本质上来说是一种保护装置,用来保护网络数据、资源和用户的声誉。,防火墙服务用于多个目的:,限定人们从一个特别的节点进入。,防止入侵者接近你的防御设施。,限定人们从一个特别的节点离开。,有效的阻止破坏者对你的计算机系统进行破坏。,9.3防,火,火墙的作,用,用与设计,从逻辑上,讲,讲,防火,墙,墙是分离,器,器、限制,器,器和分析,器,器;从物,理,理角度看,,,,各个防,火,火墙的物,理,理实现方,式,式可以有,所,所不同,,它,它通常是,一,一组硬件,设,设备(路,由,由器、主,机,机)和软,件,件的多种,组,组合。,防火墙的,优,优点:,(1)防,火,火墙能强,化,化安全策,略,略,(2)防,火,火墙能有,效,效地记录,因,因特网上,的,的活动,(3)防,火,火墙可以,实,实现网段,控,控制,(4)防,火,火墙是一,个,个安全策,略,略的检查,站,站,防火墙的,缺,缺点:,(1)防,火,火墙不能,防,防范恶意,的,的知情者,(2)防,火,火墙不能,防,防范不通,过,过它的连,接,接,9.3防,火,火墙的作,用,用与设计,(3)防,火,火墙不能,防,防备全部,的,的威胁,(4)防,火,火墙不能,防,防范病毒,防火墙要,检,检测随机,数,数据中的,病,病毒十分,困,困难,它,要,要求:,确认数,据,据包是程,序,序的一部,分,分,确定程,序,序的功能,确定病,毒,毒引起的,改,改变,9.3.2防火墙,的,的功能,防火墙通,常,常具有以,下,下几种功,能,能:,数据包,过,过滤,代理服,务,务,9.3防,火,火墙的作,用,用与设计,1数据,包,包过滤,数据包过,滤,滤系统在,内,内部网络,与,与外部主,机,机之间发,送,送数据包,,,,但它们,发,发送的数,据,据包是有,选,选择的。,它,它们按照,自,自己的安,全,全策略允,许,许或阻止,某,某些类型,的,的数据包,通,通过,这,种,种控制由,路,路由器来,完,完成,所,以,以数据包,过,过滤系统,通,通常也称,之,之为,屏蔽路由,器,器,。,普通路由,器,器,只是简单,地,地查看每,一,一个数据,包,包的目标,地,地址,然,后,后选择发,往,往目标地,址,址的最佳,路,路径。处,理,理数据包,目,目标地址,的,的方法一,般,般有两种,:,:,如果路,由,由器知道,如,如何将数,据,据包发送,到,到目标地,址,址,则发,送,送。,如果路,由,由器不知,道,道如何将,数,数据包发,送,送到目标,地,地址,则,返,返回数据,包,包,经由ICMP,向,向源地址,发,发送不能,到,到达的消,息,息。,9.3防,火,火墙的作,用,用与设计,屏蔽路由,器,器有以下,特,特点:,屏蔽路,由,由器比普,通,通的路由,器,器担负更,大,大的责任,,,,它不但,要,要执行转,发,发任务,,还,还要执行,确,确定转发,的,的任务。,如果屏,蔽,蔽路由器,的,的安全保,护,护失败,,内,内部的网,络,络将被暴,露,露。,简单的,屏,屏蔽路由,器,器不能修,改,改任务。,屏蔽路,由,由器能允,许,许或拒绝,服,服务,但,它,它不能保,护,护服务之,内,内的单独,操,操作。如,果,果一个服,务,务没有提,供,供安全的,操,操作,或,者,者这个服,务,务由不安,全,全的服务,器,器提供,,那,那么屏蔽,路,路由器就,不,不能保证,它,它的安全,。,。,9.3防,火,火墙的作,用,用与设计,2代理,服,服务,代理服务,是,是运行在,防,防火墙主,机,机上的专,门,门的应用,程,程序(服,务,务器程序,),)。防火,墙,墙主机可,以,以是一个,同,同时拥有,内,内部网络,接,接口和外,部,部网络接,口,口的双重,宿,宿主主机,,,,也可以,是,是一些内,部,部网络中,唯,唯一可以,与,与因特网,通,通信的堡,垒,垒主机。,代理服务,程,程序接受,用,用户对因,特,特网服务,的,的请求,,并,并按照安,全,全策略转,发,发它们的,请,请求。所,谓,谓代理就,是,是一个提,供,供替代连,接,接并且充,当,当服务的,网,网关。由,于,于这个原,因,因,代理,也,也称之为,应,应用级网,关,关。,代理服务,位,位于内部,用,用户和外,部,部服务之,间,间,它在,幕,幕后处理,所,所有用户,和,和因特网,服,服务之间,的,的通信,,以,以代替它,们,们之间的,直,直接交谈,。,。,9.3防,火,火墙的作,用,用与设计,9.3.3防火墙,的,的体系结,构,构,防火墙的,体,体系结构,一,一般有以,下,下几种,双重宿,主,主主机体,系,系结构,屏蔽主,机,机体系结,构,构,屏蔽子,网,网体系结,构,构,1双重,宿,宿主主机,体,体系结构,双重宿主,主,主机体系,结,结构是具,有,有双重宿,主,主功能的,主,主机而构,筑,筑的。该,计,计算机至,少,少有两个,网,网络接口,,,,一个是,内,内部网络,接,接口,一,个,个是因特,网,网接口。,9.3防,火,火墙的作,用,用与设计,2屏蔽,主,主机体系,结,结构,双重宿主,主,主机体系,结,结构提供,内,内部网络,和,和外部网,络,络之间的,服,服务(但,是,是路由关,闭,闭),屏,蔽,蔽主机体,系,系结构使,用,用一个单,独,独的路由,器,器来提供,内,内部网络,主,主机之间,的,的服务。,在,在这种体,系,系结构中,,,,主要的,安,安全机制,由,由数据包,过,过滤系统,来,来提供,。,。,3屏蔽,子,子网体系,结,结构,屏蔽子网,体,体系结构,在,在屏蔽主,机,机体系结,构,构的基础,上,上添加额,外,外的安全,层,层,它通,过,过添加周,边,边网络把,内,内部网络,更,更进一步,地,地与因特,网,网隔离开,。,。,周边网络,堡,堡垒主,机,机,内,内部路由,器,器,外,外,部,部路由器,9.3防,火,火墙的作,用,用与设计,4,防火墙,体,体系结构,的,的不同形,式,式,使用多,堡,堡垒主机,合并内,部,部路由器,与,与外部路,由,由器,合并堡,垒,垒主机与,外,外部路由,器,器,合并堡,垒,垒主机与,内,内部路由,器,器,使用多,台,台内部路,由,由器,使用多,台,台外部路,由,由器,使用多,个,个周边网,络,络,使用双,重,重宿主主,机,机与屏蔽,子,子网,9.3防,火,火墙的作,用,用与设计,9.3.4内部防,火,火墙,实验室,网,网络,不安全,的,的网络,特别安全,的,的网络,合作共建,防,防火墙,共享周边,网,网络,堡,垒,垒主,机,机可,有,有可,无,无,9.3防,火,火墙,的,的作,用,用与,设,设计,9.3.5发,展,展趋,势,势,被称,为,为“,第,第三,代,代防,火,火墙,”,”的,系,系统,正,正在,成,成为,现,现实,,,,它,综,综合,了,了数,据,据包,过,过滤,与,与代,理,理系,统,统的,特,特点,与,与功,能,能。,目前,,,,人,们,们正,在,在设,计,计新,的,的IP协,议,议(,也,也被,称,称为IPversion6,),)。IP,协,协议,的,的变,化,化将,对,对防,火,火墙,的,的建,立,立与,运,运行,产,产生,深,深刻,的,的影,响,响,,大,大多,数,数网,络,络上,的,的信,息,息流,都,都有,可,可能,被,被泄,漏,漏,,但,但新,式,式的,网,网络,技,技术,如,如帧,中,中继,、,、异,步,步传,输
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业管理 > 营销创新


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!